常時SSL化とは?

https化

常時SSL化とは、webサイト内、全てのページをhttps://のアドレスで通信することです。従来は「お問い合わせフォーム」や「ショッピングサイトのカート」などの入力欄のあるページやディレクトリのみ暗号化通信を行っていましたが、昨今の巧妙化するサイバー攻撃対策やWebサイトの信頼性の向上のためにWebサイト全体の常時SSL化が注目を集めています。

ブラウザ製品(Google Chrome)のセキュリティ機能強化

  • Googleは2017年1月「Google Chrome 56」のリリースに併せ、ユーザがHTTPの一部のページで安全性を確保できるよう、まず第一段階としてセキュリティ警告表示を開始しました。この段階で影響を受けたのは、HTTPページにおいてログイン情報や決済カードデータなどの機密情報を送信するページが対象となっています。
  • 2017年10月にリリースされる「Google Chrome 62」では、セキュリティ対策の第二段階として、ユーザーがHTTPページにおいて、何らかのデータを入力できるようになっている場合、安全性の警告を表示する機能が搭載されます。(Googleは、テキストボックスを含む全てのページに適用されると強調しており、「ユーザーがHTTPサイトにデータを入力しようとすると【Not secure】という警告が表示される」と発表しています)
常時SSL非対応サイト
Not Secure

現在でも、HTTPページでは、アドレスバーに(!)マークが表示されますが、Chrome 62では、フォームにデータを入力するときに「Not Secure」といった警告が表示されるようです(日本語の警告メッセージ、表示方法は不明です)

※表示例はChrome60における動作

Googleでは、今後全てのHTTPページを安全でないページとみなし、一律的に警告が表示されるように切り替えていく方針。Chrome62以降の新たなバージョンのリリースは、順次明らかにする予定とされていますが、Googleはそれを待たずにHTTPS(SSL/TLS化)への移行を進めてほしいと促しています。

常時SSL対応済みサイト
保護された通信
保護された通信

常時SSL化対応済み

ブラウザ製品のセキュリティ機能強化

ブラウザのセキュリティ強化によって想定されるサイト運営者のデメリット

商取引の機会損失

オンラインショップ、決済機能を持つWebサイトでは、不信、不安、面倒の観点からユーザがウェブページから離脱する可能性が高くなり、機会損失を招きます。

ユーザコミュニケーション機能の低下

お問い合せフォームなどでも警告が表示されるようになるため、コミュニケーション手段が電話、メールなどレガシーコミュニケーション手法へと回帰することで、サイト運営者の対応負荷が上がります。

企業イメージの低下

Webサイトの安全性が担保されていないということは、企業や店舗自体のイメージダウンに繋がります。

解決策

常時SSL/TLS化:Webサイト全体を暗号化すること

個人情報などを入力するフォームページだけではなく、Webサイト全体をSSL/TLS化してしまい、
ブラウザからアクセスする場合は常に暗号化して閲覧してもらう方法が有効です。

常時SSL化に移行するメリット

  • これまで「SSL化はフォームだけで良い、常時SSL化は遅くなる」というのが一般的な認識でしたがここ最近では、常時SSL化を行うべきというのがデファクトスタンダードになっています。
  • サイト運営者およびユーザに以下のようなメリットが齎されます。
  • HTTP/2という新しいプロトコルでは、SSL化されたWebコンテンツの表示速度は非SSLサイトと比べて早くなる
  • 暗号化により、通信経路での情報漏えいや改ざんの被害を防止
  • SEOメリットがある(Googleは 2014年より SSL化されたサイトを重要視する方向に動いており、HTTPS をランキングシグナルに使用しています。)

※WEBサイトの存在自体が、企業の大きな情報発信源であったり、新たなサービスを強化するツールであったりする場合、サイトの常時SSL化は企業全体の方針にも関わってきます。
今以上に運用コストがかかる分、導入には充分な検討が必要ですが、安心・安全が当たり前とされている今、サイトの常時SSL化のニーズは確実に高まっています。

HTMLソースコードについて

SSLサーバ証明書の導入だけでは常時SSL化は実現出来ません

コンテンツのHTTP/HTTPSの混在が弊害となります

codeイメージ
  • httpサイトの実装においては、正しいHTMLコンテンツを作成する必要があります
  • HTMLコンテンツ内におけるhttp / httpsの混在の回避により、正しいコンテンツ作成が重要です
  • HTMLについては、常時SSL/TLSを前提にソースを記述することが必要となり、http / https混在エラーを避けるHTML記述をしなければなりません
  • HTML、CSS、jsファイル内の「http://」で始まる埋め込みファイルが存在(混在)するとブラウザが警告を表示します
  • 動画埋め込み、SNSボタン、レコメンド、アフィリエイトタグ、アクセス解析タグ、外部jsファイルなどは、https対応のビーコン(タグ)の利用をお勧めします
  • 常時SSL/TLS化をスムーズに進めるためには、なるべく同じドメイン、サブドメインのサーバに各種コンテンツを配置することが望ましいです

既存コンテンツの改修が膨大になってしまう

先に述べた通り、常時SSL化に向けてはコンテンツ作成時に考慮すべきポイントがありますが、既存のHTMLファイルの改修をする場合、既に複数のWebサイト(ドメイン、サブドメイン)に跨る非SSLコンテンツが混在するケースも考えられますが、一つ一つを改修することは開発者、サイト運営者の膨大な時間と労力を費やすことになります。

ワイルドカード or マルチドメイン証明書を用います。.htaccesファイルで、http://記述をhttps://へリダイレクトする解決策が有効となります。

htaccesファイル

常時SSL化のご相談承ります

代行サービスの流れ

  1. Step1 ITMが申請代行窓口を承ります

    常時SSL化に必要なもの

    ワイルドカード証明書、またはマルチドメイン証明書
    (信頼性のおける認証局が販売するX.509 v3に準拠したSSLサーバ証明書)

  2. Step2 お客様にてご確認いただきます

    常時SSL化の準備

    Webサーバはどこにありますか?(自社サーバ/レンタルサーバ)
    HTTPSで公開するWebサイトの設置場所は?(ディレクトリ構成、ドキュメントルートの設定)
    http/httpsコンテンツの混在状況、改修予定(可否)をヒアリングする
    テストサーバの有無(同様の設定が行えますか?)

  3. Step3 ITMがインストール設定を承ります

    SSLサーバ証明書のインストール

    常時SSL化したいWebサイトへSSLサーバ証明書をインストール
    お客様のご都合に合わせ、常時SSL切り替え作業を実施(日時指定OK!)

  4. Step4 お客様とITMの共同作業です!

    常時SSL化チェック

    WebサイトがSSL化されたことをインストールチェッカーにて確認します
    お客様側にて固有のアプリケーションやコンテンツがHTTPS化されていることをご確認をいただきます

種類・特徴

ワイルドカード証明書

1つのドメインに属する複数のサブドメインサイトを単一のSSLサーバ証明書を使って保護します

マルチドメイン証明書

SANs(コモンネームの別名)に異なるコモンネーム(サーバ名+ドメイン名)を
登録することで複数のサイトを単一のSSLサーバ証明書で保護します

作業代行費用

SSL証明書申請代行 1コモンネーム
10,000円
  • 複数枚でも同時申請なら同額
  • 弊社から証明書を購入いただいた場合は無料
SSL証明書インストール・設定代行 1コモンネーム
30,000円
  • 同一コモンネームで冗長化されているホストの場合、2台目以降は15,000円

価格・仕様